一种基于功耗特征的物联网攻击监测方法、装置及云平台

技术领域

本申请属于物联网检测技术领域，特别的涉及一种基于功耗特征的物联网攻击监测方法、装置及云平台。

背景技术

随着物联网技术的普及，物联网设备面临的安全威胁日趋严峻，大量传统设备在进行数字化改造时，几乎没有同步配置防护能力，影响了物联网的整体安全可靠性。同时由于物联网终端和应用的融合化、多样化，给物联网业务带来了更多的安全不确定性。不断增长的各类物联网互联设备为攻击者提供了巨大而广泛的网络攻击入口，导致物联网面临着大量的问题和挑战。一旦遭受攻击，将造成巨大的经济损失，物联网安全受到越来越多的关注。

目前物联网设备大多采用嵌入式系统，各类物联网设备通常存在计算资源受限，存量设备不支持二次开发等缺陷，当存在病毒攻击时无法保障物联网设备的安全稳定运行。

发明内容

本申请为解决上述提到的各类物联网设备通常存在计算资源受限，存量设备不支持二次开发等缺陷，当存在病毒攻击时无法保障物联网设备的安全稳定运行等技术问题，提出一种基于功耗特征的物联网攻击监测方法、装置及云平台，其技术方案如下：

第一方面，本申请实施例提供了一种基于功耗特征的物联网攻击监测方法，方法应用于云平台，云平台与至少两个物联网设备建立通信，每个物联网设备设置有磁通门电流传感器，方法包括：

获取目标物联网设备发送的电流信息以及标识信息；其中，目标物联网设备的电流信息由设置在目标物联网设备上的磁通门电流传感器采集到；

对目标物联网设备的电流信息进行特征提取，得到至少两个特征指标；

基于目标物联网设备的标识信息在模型数据库中确定出与目标物联网设备对应的机器学习模型；其中，模型数据库包括每个物联网设备的标识信息以及与每个物联网设备对应的机器学习模型；

将至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果，并根据与目标物联网设备对应的预测结果判断目标物联网设备是否受到病毒攻击。

在第一方面的一种可选方案中，在将至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果之前，还包括：

对至少两个特征指标进行归一化处理；

对经过归一化处理的至少两个特征指标进行主成分分析降维处理；

将至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果，包括：

将处理后的至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果。

在第一方面的又一种可选方案中，对目标物联网设备的电流信息进行特征提取，得到至少两个特征指标，包括：

在预设窗口时间内，按照预设时间间隔从目标物联网设备的电流信息中提取出至少两个与预设时间间隔对应的电流值；

将至少两个与预设时间间隔对应的电流值带入特征计算公式，得到至少两个特征指标。

在第一方面的又一种可选方案中，每个特征指标由各自对应的特征计算公式计算得到，至少两个特征指标包括平均值、中位数、上四分位数、下四分位数、最大值、最小值、极值差、四分位距、方差、标准差、离异系数、偏度系数、峰度系数、FFT最大值以及FFT最小值中任意至少两个。

在第一方面的又一种可选方案中，在获取目标物联网设备发送的电流信息以及标识信息之前，还包括：

获取每个物联网设备发送的第一电流样本信息、第二电流样本信息以及样本标识信息；其中，物联网设备的第一电流样本信息为物联网设备在正常工作时基于磁通门电流传感器采集到，物联网设备的第二电流样本信息为物联网设备在已知类型的病毒攻击时基于磁通门电流传感器采集到；

对每个物联网设备的第一电流样本信息进行特征提取，得到至少两个第一样本特征指标，并对至少两个第一样本特征指标添加正样本标签；

对每个物联网设备的第二电流样本信息进行特征提取，得到至少两个第二样本特征指标，并对至少两个第二样本特征指标添加负样本标签；其中，负样本标签包括已知的病毒类型；

基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标以及样本标识信息更新模型数据库。

在第一方面的又一种可选方案中，基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标以及样本标识信息更新模型数据库，包括：

当在模型数据库中检测到与物联网设备的样本标识信息一致的标识信息时，基于物联网设备的添加有正样本标签的至少两个第一样本特征指标以及添加有负样本标签的至少两个第二样本特征指标，对模型数据库中与物联网设备的样本标识信息对应的特征指标进行更新；

当在模型数据库中未检测到与物联网设备的样本标识信息一致的标识信息时，将物联网设备的样本标识信息以及与物联网设备的样本标识信息对应的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标插入至模型数据库。

在第一方面的又一种可选方案中，在基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标以及样本标识信息更新模型数据库之后，还包括：

判断更新后的模型数据库中与每个物联网设备的标识信息对应的正样本标签以及负样本标签的个数是否超过预设阈值；

当与每个物联网设备的标识信息对应的正样本标签以及负样本标签的个数超过预设阈值时，基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标以及添加有负样本标签的至少两个第二样本特征指标，对与物联网设备的标识信息对应的机器学习模型进行训练。

第二方面，本申请实施例提供了一种基于功耗特征的物联网攻击监测装置，装置应用于云平台，云平台与至少两个物联网设备建立通信，每个物联网设备设置有磁通门电流传感器，装置包括：

功耗采集模块，用于获取目标物联网设备发送的电流信息以及标识信息；其中，目标物联网设备的电流信息由设置在目标物联网设备上的磁通门电流传感器采集到；

特征提取模块，用于对目标物联网设备的电流信息进行特征提取，得到至少两个特征指标；

数据库分析模块，用于基于目标物联网设备的标识信息在模型数据库中确定出与目标物联网设备对应的机器学习模型；其中，模型数据库包括每个物联网设备的标识信息以及与每个物联网设备对应的机器学习模型；

模型预测模块，用于将至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果，并根据与目标物联网设备对应的预测结果判断目标物联网设备是否受到病毒攻击。

在第二方面的一种可选方案中，装置还包括：

第一处理模块，用于在将至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果之前，对至少两个特征指标进行归一化处理；

第二处理模块，用于对经过归一化处理的至少两个特征指标进行主成分分析降维处理；

模型预测模块具体用于：

将处理后的至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果。

在第二方面的又一种可选方案中，特征提取模块包括：

第一提取单元，用于在预设窗口时间内，按照预设时间间隔从目标物联网设备的电流信息中提取出至少两个与预设时间间隔对应的电流值；

第二提取单元，用于将至少两个与预设时间间隔对应的电流值带入特征计算公式，得到至少两个特征指标。

在第二方面的又一种可选方案中，每个特征指标由各自对应的特征计算公式计算得到，至少两个特征指标包括平均值、中位数、上四分位数、下四分位数、最大值、最小值、极值差、四分位距、方差、标准差、离异系数、偏度系数、峰度系数、FFT最大值以及FFT最小值中任意至少两个。

在第二方面的又一种可选方案中，装置还包括：

样本获取模块，用于在获取目标物联网设备发送的电流信息以及标识信息之前，获取每个物联网设备发送的第一电流样本信息、第二电流样本信息以及样本标识信息；其中，物联网设备的第一电流样本信息为物联网设备在正常工作时基于磁通门电流传感器采集到，物联网设备的第二电流样本信息为物联网设备在已知类型的病毒攻击时基于磁通门电流传感器采集到；

第一处理模块，用于对每个物联网设备的第一电流样本信息进行特征提取，得到至少两个第一样本特征指标，并对至少两个第一样本特征指标添加正样本标签；

第二处理模块，用于对每个物联网设备的第二电流样本信息进行特征提取，得到至少两个第二样本特征指标，并对至少两个第二样本特征指标添加负样本标签；其中，负样本标签包括已知的病毒类型；

更新模块，用于基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标以及样本标识信息更新模型数据库。

在第二方面的又一种可选方案中，更新模块包括：

数据库更新单元，用于当在模型数据库中检测到与物联网设备的样本标识信息一致的标识信息时，基于物联网设备的添加有正样本标签的至少两个第一样本特征指标以及添加有负样本标签的至少两个第二样本特征指标，对模型数据库中与物联网设备的样本标识信息对应的特征指标进行更新；

数据库插入单元，用于当在模型数据库中未检测到与物联网设备的样本标识信息一致的标识信息时，将物联网设备的样本标识信息以及与物联网设备的样本标识信息对应的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标插入至模型数据库。

在第二方面的又一种可选方案中，装置还包括：

判断模块，用于在基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标以及样本标识信息更新模型数据库之后，判断更新后的模型数据库中与每个物联网设备的标识信息对应的正样本标签以及负样本标签的个数是否超过预设阈值；

模型训练模块，用于当与每个物联网设备的标识信息对应的正样本标签以及负样本标签的个数超过预设阈值时，基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标以及添加有负样本标签的至少两个第二样本特征指标，对与物联网设备的标识信息对应的机器学习模型进行训练。

第三方面，本申请实施例提供了一种云平台，云平台与至少两个物联网设备建立通信，每个物联网设备设置有磁通门电流传感器，云平台包括处理器以及存储器；

处理器与存储器连接；

存储器，用于存储可执行程序代码；

处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序，以用于实现本申请实施例第一方面或第一方面的任意一种实现方式提供的基于功耗特征的物联网攻击监测方法。

第四方面，本申请实施例提供了一种计算机存储介质，计算机存储介质存储有计算机程序，计算机程序包括程序指令，程序指令当被处理器执行时，可实现本申请实施例第一方面或第一方面的任意一种实现方式提供的基于功耗特征的物联网攻击监测方法。

在本申请实施例中，在基于云平台对物联网设备进行病毒攻击检测时，可获取目标物联网设备发送的电流信息以及标识信息；接着对目标物联网设备的电流信息进行特征提取，得到至少两个特征指标；接着基于目标物联网设备的标识信息在模型数据库中确定出与目标物联网设备对应的机器学习模型；接着将至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果，并根据与目标物联网设备对应的预测结果判断目标物联网设备是否受到病毒攻击。通过机器学习技术，采用非侵入式的实时监测方式基于云端判断物联网设备是否遭受病毒攻击，无需对物联网设备进行硬件改造或软件移植，以便于在不影响原有业务运行的情况下，进行物联网设备的病毒攻击实时监测，进而保障物联网设备的安全稳定运行。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例中所需使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种基于功耗特征的物联网攻击监测方法的流程示意图；

图2为本申请实施例提供的一种基于功耗特征的物联网攻击监测方法的应用结构示意图；

图3为本申请实施例提供的又一种基于功耗特征的物联网攻击监测方法的流程示意图；

图4为本申请实施例提供的又一种基于功耗特征的物联网攻击监测方法的流程示意图；

图5为本申请实施例提供的一种基于功耗特征的物联网攻击监测装置的结构示意图；

图6为本申请实施例提供的一种云平台的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。

在下述介绍中，术语“第一”、“第二”仅为用于描述的目的，而不能理解为指示或暗示相对重要性。下述介绍提供了本申请的多个实施例，不同实施例之间可以替换或者合并组合，因此本申请也可认为包含所记载的相同和/或不同实施例的所有可能组合。因而，如果一个实施例包含特征A、B、C，另一个实施例包含特征B、D，那么本申请也应视为包括含有A、B、C、D的一个或多个所有其他可能的组合的实施例，尽管该实施例可能并未在以下内容中有明确的文字记载。

下面的描述提供了示例，并且不对权利要求书中阐述的范围、适用性或示例进行限制。可以在不脱离本申请内容的范围的情况下，对描述的元素的功能和布置做出改变。各个示例可以适当省略、替代或添加各种过程或组件。例如所描述的方法可以以所描述的顺序不同的顺序来执行，并且可以添加、省略或组合各种步骤。此外，可以将关于一些示例描述的特征组合到其他示例中。

请参阅图1，图1示出了本申请实施例提供的一种基于功耗特征的物联网攻击监测方法的流程示意图。

如图1所示，该基于功耗特征的物联网攻击监测方法至少可以包括以下步骤：

步骤102、获取目标物联网设备发送的电流信息以及标识信息。

在本申请实施例中基于功耗特征的物联网攻击监测方法可应用于云平台，该云平台可理解为一种服务器或是一种服务器集群，且该云平台可以但不局限于还可实现人机交互，以便于检测人员可实时获取云平台存储或是处理的数据。该云平台可与至少两个物联网设备建立通信，以便于可接收该至少两个物联网设备中任意至少一个物联网设备所发送的用于表征功耗的电流信息。可以理解的是，为了准确区分各个物联网设备发送的电流信息，还可由云平台接收该至少两个物联网设备中任意至少一个物联网设备所发送的标识信息。其中，云平台与每个物联网设备之间的通信方式可以但不局限于为通过支持HTTP/HTTPS等协议的通信接口，或是通过预先完成配对的无线模块，本申请实施例不限定于此。

此处可参阅图2示出的本申请实施例提供的一种基于功耗特征的物联网攻击监测方法的应用结构示意图。如图2所示，该基于功耗特征的物联网攻击监测方法可应用于云平台，该云平台可分别与物联网设备1、物联网设备2以及物联网设备3建立通信，且该云平台可分别根据物联网设备1、物联网设备2以及物联网设备3发送的电流信息来判断该物联网设备1、物联网设备2以及物联网设备3是否受到病毒攻击。

还可以理解的是，每个物联网设备可在工作过程中基于磁通门电流传感器实时采集电流信息，并由该磁通门电流传感器将采集到的电流信息转换为电压信号，通过32位直流交流转换器以38.4k采样率对该电压信号进行转换，并得到相应的交流电流信息。在本申请实施例中，设置在物联网设备上的磁通门电流传感器相较于现有技术中的其它类型传感器，具有分辨率高，精度高、灵敏度高、抗干扰性强等优点，且此处磁通门电流传感器可以但不局限于替换为霍尔电流传感器，本申请实施例不限定于此。

在每个物联网设备将采集到的电流信息转换为交流电流信息之后，可以但不局限于将该交流电流信息发送至云平台，以由该云平台根据交流电流信息进行特征提取，并根据提取的特征来进一步判断物联网设备是否受到病毒攻击。

当然，在本申请实施例中每个物联网设备将采集到的电流信息转换为交流电流信息之后，还可以但不局限于由物联网设备自身对交流电流信息进行特征提取，并将提取的特征发送至云平台，以由该云平台直接根据提取的特征来判断物联网设备是否受到病毒攻击，不限定于此。

本申请实施例在不需要更改关键基础设施设备原有的软硬件和不影响原有业务运行的基础上，通过采集物联网设备整机的功耗信息，提取功耗信息特征，采用云边协同的方式，在云平台利用机器学习算法实时监测物联网设备病毒程序，保护物联网设备运行安全。

具体地，当与云平台建立通信的任意一个目标物联网设备处于工作状态时，可先由该目标物联网设备的磁通门电流传感器将采集到的电流信息转换为电压信号，通过32位直流交流转换器以38.4k采样率对该电压信号进行转换，并得到相应的交流电流信息。

进一步的，该目标物联网设备可将转换后的交流电流信息以及与该目标物联网设备对应的标识信息发送至云平台。其中，与该目标物联网设备对应的标识信息可为该目标物联网设备的设备类型，且可以但不局限于在云平台检测到目标物联网设备处于工作状态时，先向该目标物联网设备发送数据获取请求，以使该目标物联网设备在接收到云平台的数据获取请求之后将交流电流信息以及标识信息发送至云平台。

步骤104、对目标物联网设备的电流信息进行特征提取，得到至少两个特征指标。

具体地，云平台在获取到目标物联网设备发送的电流信息以及标识信息之后，可从电流信息中提取出处于预设窗口时间内的电流信息，并按照预设时间间隔从该处于预设窗口时间内的电流信息中提取出至少两个与时间间隔对应的电流值。例如在预设时间窗口1至10秒内，按照预设时间间隔1秒可在目标物联网设备发送的电流信息中提取出10个电流值。在本申请实施例中可将提取出额至少两个与时间间隔对应的电流值作为数据集X，该数据集X可通过下式进行表示：

进一步的，云平台可将该至少两个与预设时间间隔对应的电流值带入特征计算公式，得到至少两个特征指标，其中，每个特征指标由各自对应的特征计算公式计算得到，至少两个特征指标可包括平均值、中位数、上四分位数、下四分位数、最大值、最小值、极值差、四分位距、方差、标准差、离异系数、偏度系数、峰度系数、FFT最大值以及FFT最小值中任意至少两个。

此处可结合上述提到的数据集X，其平均值可以但不局限于通过下式得到：

其中位数可以但不局限于通过下式得到：

其上四分位数以及下四分位数可以但不局限于分别通过下式得到：

其方差可以但不局限于通过下式得到：

其标准差可以但不局限于通过下式得到：

其离异系数可以但不局限于通过下式得到：

上式中s可为标注差。

其偏度系数可以但不局限于根据三种算法得到，设

上式可对应于R的e1071包中skewness函数的type=1，上式中s可为标注差。

第二种算法可通过下式表示：

上式可对应于R的e1071包中skewness函数的type=2，上式中s可为标注差。

第三种算法可通过下式表示：

上式可对应于R的e1071包中skewness函数的type=3，上式中s可为标注差。

其峰度系数可以但不局限于根据三种算法得到，设

上式可对应于R的e1071包中kurtosis函数的type=1。

第二种算法可通过下式表示：

第三种算法可通过下式表示：

可以理解的是，特征指标的类型越多，可保障云平台判断物联网设备是否受到病毒攻击的准确性更高。

作为本申请实施例的一种可选，在将至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果之前，还包括：

对至少两个特征指标进行归一化处理；

对经过归一化处理的至少两个特征指标进行主成分分析降维处理。

具体地，云平台可在提取出电流信息的特征指标之后，对该特征指标进行归一化处理，并对经过归一化处理的特征指标进行PCA降维处理，以便于将该特征指标转换为可输入至机器学习模型的特征向量。可以理解的是，在本申请实施例中通过机器学习技术，可进一步提高云平台对物联网设备是否受到病毒攻击的预测结果的准确性。

步骤106、基于目标物联网设备的标识信息在模型数据库中确定出与目标物联网设备对应的机器学习模型。

具体地，云平台在获取到目标物联网设备的标识信息之后，可根据该目标物联网设备的标识信息在模型数据库中确定出与该标识信息对应的机器学习模型。其中，云平台可预先存储有模型数据库，该模型数据库中包括有与云平台建立通信的每个物联网设备的标识信息以及分别与每个物联网设备的标识信息对应的机器学习模型，且该机器学习模型可以但不局限于根据SVM分类器生成，与每个物联网设备的标识信息对应的机器学习模型各不相同。此处，机器学习模型可为本领域常见的深度学习神经网络，其结构不再过多赘述。

可以理解的是，与每个物联网设备的标识信息对应的机器学习模型可由每个物联网设备对应的多种已知病毒类型的样本特征指标训练得到，该已知病毒类型可包括正常工作（无病毒类型）、受到病毒类型A以及受到病毒类型B等多种类型，且该机器学习模型输出的预测结果可用于表征相应的物联网设备是否受到病毒攻击，以及当受到病毒攻击时可确定出对应的病毒类型。例如机器学习模型输出的预测结果中字符“1”可用于表征相应的物联网设备受到病毒攻击，“0” 可用于表征相应的物联网设备未受到病毒攻击，字符“a”可用于表征相应的物联网设备受到的病毒类型为a，字符“b”可用于表征相应的物联网设备受到的病毒类型为b, 字符“c”可用于表征相应的物联网设备受到的病毒类型为c。

还可以理解的是，在本申请实施例中该步骤可以但不局限于设置在对电流信息的特征指标进行转换处理步骤之前或是与在对电流信息的特征指标进行转换处理步骤同步进行，此处不限定于此。

步骤108、将至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果，并根据与目标物联网设备对应的预测结果判断目标物联网设备是否受到病毒攻击。

具体地，云平台在确定出与目标物联网设备对应的机器学习模型之后，可将上述提到的经过转换处理的特征指标输入该机器学习模型，得到与目标物联网设备对应的预测结果，并可根据该与目标物联网设备对应的预测结果来判断目标物联网设备是否受到病毒攻击，以及当该目标物联网设备受到病毒攻击时对应的病毒类型。例如以上述提到的字符“1”可用于表征相应的物联网设备受到病毒攻击，“0” 可用于表征相应的物联网设备未受到病毒攻击，字符“a”可用于表征相应的物联网设备受到的病毒类型为a，字符“b”可用于表征相应的物联网设备受到的病毒类型为b, 字符“c”可用于表征相应的物联网设备受到的病毒类型为c为例，当与目标物联网设备对应的预测结果为“1c”时，可确定出目标物联网设备受到病毒攻击，且病毒类型为c。

作为本申请实施例的又一种可选，可参阅图3示出的本申请实施例提供的又一种基于功耗特征的物联网攻击监测方法的流程示意图。

如图3所示，该基于功耗特征的物联网攻击监测方法在获取目标物联网设备发送的电流信息以及标识信息之前，还包括以下步骤：

步骤302、获取每个物联网设备发送的第一电流样本信息、第二电流样本信息以及样本标识信息。

具体地，云平台在进行目标物联网设备是否受到病毒攻击的检测之前，还可先获取每个物联网设备预先发送的用于表征物联网设备在正常工作时基于磁通门电流传感器所采集到的第一电流样本信息、用于表征物联网设备在已知类型的病毒攻击时基于磁通门电流传感器所采集到的第二电流样本信息以及样本标识信息，其中，每个物联网设备在采集到第一电流样本信息之后，可先由磁通门电流传感器将采集到的第一电流样本信息转换为电压信号，通过32位直流交流转换器以38.4k采样率对该电压信号进行转换，并得到相应的交流电流信息。每个物联网设备在采集到第二电流样本信息之后，可先由磁通门电流传感器将采集到的第二电流样本信息转换为电压信号，通过32位直流交流转换器以38.4k采样率对该电压信号进行转换，并得到相应的交流电流信息。

步骤304、对每个物联网设备的第一电流样本信息进行特征提取，得到至少两个第一样本特征指标，并对至少两个第一样本特征指标添加正样本标签。

具体地，云平台在获取到每个物联网设备发送的第一电流样本信息（也可理解为经过转换处理的交流第一电流样本信息）之后，可对该每个物联网设备的第一电流样本信息进行特征提取，以得到与第一电流样本信息对应的至少两个第一样本特征指标，并可对该至少两个第一样本特征指标添加正样本标签，以表明该特征指标可对应为物联网设备处于正常工作状态下（未受到病毒攻击）。可以理解的是，不同时段下每个物联网设备发送的第一电流样本信息所对应的第一样本特征指标可不相同，且对应不同的第一样本特征指标均可添加有正样本标签。

步骤306、对每个物联网设备的第二电流样本信息进行特征提取，得到至少两个第二样本特征指标，并对至少两个第二样本特征指标添加负样本标签。

具体地，云平台在获取到每个物联网设备发送的第二电流样本信息（也可理解为经过转换处理的交流第二电流样本信息）之后，可对该每个物联网设备的第二电流样本信息进行特征提取，以得到与第二电流样本信息对应的至少两个第二样本特征指标，并可对该至少两个第二样本特征指标添加负样本标签，以表明该特征指标可对应为物联网设备受到病毒攻击。可以理解的是，不同类型病毒的攻击下，每个物联网设备发送的第二电流样本信息所对应的第二样本特征指标各不相同，且不同的第二样本特征指标均可添加有负样本标签。

可以理解的是，对于每个物联网设备的标识信息，可各自对应有至少一个添加有正样本标签的第一样本特征指标以及至少一个添加有负样本标签的第二样本特征指标。

步骤308、基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标以及样本标识信息更新模型数据库。

具体地，云平台在分别对至少两个第一样本特征指标添加正样本标签以及对至少连个第二样本特征指标添加负样本标签之后，可基于物联网设备的样本标识信息判断模型数据库中是否存在与该物联网设备的样本标识信息一致的标识信息。其中，当检测到在模型数据库中检测到与该物联网设备的样本标识信息一致的标识信息时，可表明模型数据库当前存储有与该物联网设备的标识信息以及与该物联网设备的标识信息对应的特征指标、机器学习模型，接着可对与该物联网设备的标识信息对应的特征指标进行更新，例如但不局限于可添加至少两个第一样本特征指标以及至少两个第二样本特征，或是基于该至少两个第一样本特征指标以及至少两个第二样本特征对储存在模型数据库中的第一特征指标以及第二特征指标进行更新，此处不限定于此。

可能的，当检测到在模型数据库中未检测到与该物联网设备的样本标识信息一致的标识信息时，可表明模型数据库当前未存储有与该物联网设备的标识信息以及与该物联网设备的标识信息对应的特征指标、机器学习模型，接着可将物联网设备的样本标识信息以及与物联网设备的样本标识信息对应的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标插入至模型数据库，并可以但不局限于生成相应的初始机器学习模型。

作为本申请实施例的又一种可选，请参阅图4示出的本申请实施例提供的又一种基于功耗特征的物联网攻击监测方法的流程示意图。

如图4所示，该基于功耗特征的物联网攻击监测方法在获取目标物联网设备发送的电流信息以及标识信息之前，还包括以下步骤：

步骤402、当在模型数据库中检测到与物联网设备的样本标识信息一致的标识信息时，基于物联网设备的添加有正样本标签的至少两个第一样本特征指标以及添加有负样本标签的至少两个第二样本特征指标，对模型数据库中与物联网设备的样本标识信息对应的特征指标进行更新。

具体地，步骤402可参阅上述实施例，此处不过多赘述。

步骤404、当在模型数据库中未检测到与物联网设备的样本标识信息一致的标识信息时，将物联网设备的样本标识信息以及与物联网设备的样本标识信息对应的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标插入至模型数据库。

具体地，步骤404可参阅上述实施例，此处不过多赘述。

步骤406、判断更新后的模型数据库中与每个物联网设备的标识信息对应的正样本标签以及负样本标签的个数是否超过预设阈值。

具体地，云平台在对模型数据库进行更新之后，可结合更新后的与每个物联网设备的标识信息对应的第一样本特征指标以及第二样本特征的个数判断是否需要对相应的机器学习模型进行训练，其中，当第一样本特征指标以及第二样本特征的个数超过预设阈值时，可表明用于训练机器学习模型的样本数据个数已满足训练需求。

可能的，当第一样本特征指标以及第二样本特征的个数未超过预设阈值时，表明用于训练机器学习模型的样本数据个数未满足训练需求，则可由云平台继续获取每个物联网设备发送的电流信息以及标识信息，并可以但不局限于执行上述提到的实施例，直至第一样本特征指标以及第二样本特征的个数未超过预设阈值。

步骤408、当与每个物联网设备的标识信息对应的正样本标签以及负样本标签的个数超过预设阈值时，基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标以及添加有负样本标签的至少两个第二样本特征指标，对与物联网设备的标识信息对应的机器学习模型进行训练。

具体地，云平台在与物联网设备对应的第一样本特征指标以及第二样本特征的个数超过预设阈值时，可基于添加有正样本标签的至少两个第一样本特征指标以及添加有负样本标签的至少两个第二样本特征指标对机器学习模型进行训练，并可在机器学习模型训练完成后自动保存该机器学习模型的模型参数。可以理解的是，在将添加有正样本标签的至少两个第一样本特征指标以及添加有负样本标签的至少两个第二样本特征指标输入至机器学习模型之前，还可以但不局限于对至少两个第一样本特征指标以及至少两个第二样本特征分别进行归一化处理以及PCA降维处理。

请参阅图5，图5示出了本申请实施例提供的一种基于功耗特征的物联网攻击监测装置的结构示意图。

如图5所示，该基于功耗特征的物联网攻击监测装置应用于云平台，云平台与至少两个物联网设备建立通信，每个物联网设备设置有磁通门电流传感器，该装置至少包括功耗采集模块501、特征提取模块502、数据库分析模块503以及模型预测模块504，其中：

功耗采集模块501，用于获取目标物联网设备发送的电流信息以及标识信息；其中，目标物联网设备的电流信息由设置在目标物联网设备上的磁通门电流传感器采集到；

特征提取模块502，用于对目标物联网设备的电流信息进行特征提取，得到至少两个特征指标；

数据库分析模块503，用于基于目标物联网设备的标识信息在模型数据库中确定出与目标物联网设备对应的机器学习模型；其中，模型数据库包括每个物联网设备的标识信息以及与每个物联网设备对应的机器学习模型；

模型预测模块504，用于将至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果，并根据与目标物联网设备对应的预测结果判断目标物联网设备是否受到病毒攻击。

在一些可能的实施例中，装置还包括：

第一处理模块，用于在将至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果之前，对至少两个特征指标进行归一化处理；

第二处理模块，用于对经过归一化处理的至少两个特征指标进行主成分分析降维处理；

模型预测模块具体用于：

将处理后的至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果。

在一些可能的实施例中，特征提取模块包括：

第一提取单元，用于在预设窗口时间内，按照预设时间间隔从目标物联网设备的电流信息中提取出至少两个与预设时间间隔对应的电流值；

第二提取单元，用于将至少两个与预设时间间隔对应的电流值带入特征计算公式，得到至少两个特征指标。

在一些可能的实施例中，每个特征指标由各自对应的特征计算公式计算得到，至少两个特征指标包括平均值、中位数、上四分位数、下四分位数、最大值、最小值、极值差、四分位距、方差、标准差、离异系数、偏度系数、峰度系数、FFT最大值以及FFT最小值中任意至少两个。

在一些可能的实施例中，装置还包括：

样本获取模块，用于在获取目标物联网设备发送的电流信息以及标识信息之前，获取每个物联网设备发送的第一电流样本信息、第二电流样本信息以及样本标识信息；其中，物联网设备的第一电流样本信息为物联网设备在正常工作时基于磁通门电流传感器采集到，物联网设备的第二电流样本信息为物联网设备在已知类型的病毒攻击时基于磁通门电流传感器采集到；

第一处理模块，用于对每个物联网设备的第一电流样本信息进行特征提取，得到至少两个第一样本特征指标，并对至少两个第一样本特征指标添加正样本标签；

第二处理模块，用于对每个物联网设备的第二电流样本信息进行特征提取，得到至少两个第二样本特征指标，并对至少两个第二样本特征指标添加负样本标签；其中，负样本标签包括已知的病毒类型；

更新模块，用于基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标以及样本标识信息更新模型数据库。

在一些可能的实施例中，更新模块包括：

数据库更新单元，用于当在模型数据库中检测到与物联网设备的样本标识信息一致的标识信息时，基于物联网设备的添加有正样本标签的至少两个第一样本特征指标以及添加有负样本标签的至少两个第二样本特征指标，对模型数据库中与物联网设备的样本标识信息对应的特征指标进行更新；

数据库插入单元，用于当在模型数据库中未检测到与物联网设备的样本标识信息一致的标识信息时，将物联网设备的样本标识信息以及与物联网设备的样本标识信息对应的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标插入至模型数据库。

在一些可能的实施例中，装置还包括：

判断模块，用于在基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标以及样本标识信息更新模型数据库之后，判断更新后的模型数据库中与每个物联网设备的标识信息对应的正样本标签以及负样本标签的个数是否超过预设阈值；

模型训练模块，用于当与每个物联网设备的标识信息对应的正样本标签以及负样本标签的个数超过预设阈值时，基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标以及添加有负样本标签的至少两个第二样本特征指标，对与物联网设备的标识信息对应的机器学习模型进行训练。

本领域的技术人员可以清楚地了解到本申请实施例的技术方案可借助软件和/或硬件来实现。本说明书中的“单元”和“模块”是指能够独立完成或与其他部件配合完成特定功能的软件和/或硬件，其中硬件例如可以是现场可编程门阵列（Field－ProgrammableGate Array，FPGA）、集成电路（Integrated Circuit，IC）等。

请参阅图6，图6示出了本申请实施例提供的一种云平台的结构示意图。

如图6所示，该云平台600与至少两个物联网设备建立通信，每个物联网设备设置有磁通门电流传感器，该云平台600可以包括至少一个处理器601、至少一个网络接口604、用户接口603、存储器605以及至少一个通信总线602。

其中，通信总线602可用于实现上述各个组件的连接通信。

其中，用户接口603可以包括按键，可选用户接口还可以包括标准的有线接口、无线接口。

其中，网络接口604可以但不局限于包括蓝牙模块、NFC模块、Wi-Fi模块等。

其中，处理器601可以包括一个或者多个处理核心。处理器601利用各种接口和线路连接整个电子设备600内的各个部分，通过运行或执行存储在存储器605内的指令、程序、代码集或指令集，以及调用存储在存储器605内的数据，执行路由设备600的各种功能和处理数据。可选的，处理器601可以采用DSP、FPGA、PLA中的至少一种硬件形式来实现。处理器601可集成CPU、GPU和调制解调器等中的一种或几种的组合。其中，CPU主要处理操作系统、用户界面和应用程序等；GPU用于负责显示屏所需要显示的内容的渲染和绘制；调制解调器用于处理无线通信。可以理解的是，上述调制解调器也可以不集成到处理器601中，单独通过一块芯片进行实现。

其中，存储器605可以包括RAM，也可以包括ROM。可选的，该存储器605包括非瞬时性计算机可读介质。存储器605可用于存储指令、程序、代码、代码集或指令集。存储器605可包括存储程序区和存储数据区，其中，存储程序区可存储用于实现操作系统的指令、用于至少一个功能的指令（比如触控功能、声音播放功能、图像播放功能等）、用于实现上述各个方法实施例的指令等；存储数据区可存储上面各个方法实施例中涉及到的数据等。存储器605可选的还可以是至少一个位于远离前述处理器601的存储装置。如图6所示，作为一种计算机存储介质的存储器605中可以包括操作系统、网络通信模块、用户接口模块以及基于功耗特征的物联网攻击监测应用程序。

具体地，处理器601可以用于调用存储器605中存储的基于功耗特征的物联网攻击监测应用程序，并具体执行以下操作：

获取目标物联网设备发送的电流信息以及标识信息；其中，目标物联网设备的电流信息由设置在目标物联网设备上的磁通门电流传感器采集到；

对目标物联网设备的电流信息进行特征提取，得到至少两个特征指标；

基于目标物联网设备的标识信息在模型数据库中确定出与目标物联网设备对应的机器学习模型；其中，模型数据库包括每个物联网设备的标识信息以及与每个物联网设备对应的机器学习模型；

将至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果，并根据与目标物联网设备对应的预测结果判断目标物联网设备是否受到病毒攻击。

在一些可能的实施例中，在将至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果之前，还包括：

对至少两个特征指标进行归一化处理；

对经过归一化处理的至少两个特征指标进行主成分分析降维处理；

将至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果，包括：

将处理后的至少两个特征指标输入至与目标物联网设备对应的机器学习模型，得到与目标物联网设备对应的预测结果。

在一些可能的实施例中，对目标物联网设备的电流信息进行特征提取，得到至少两个特征指标，包括：

在预设窗口时间内，按照预设时间间隔从目标物联网设备的电流信息中提取出至少两个与预设时间间隔对应的电流值；

将至少两个与预设时间间隔对应的电流值带入特征计算公式，得到至少两个特征指标。

在一些可能的实施例中，每个特征指标由各自对应的特征计算公式计算得到，至少两个特征指标包括平均值、中位数、上四分位数、下四分位数、最大值、最小值、极值差、四分位距、方差、标准差、离异系数、偏度系数、峰度系数、FFT最大值以及FFT最小值中任意至少两个。

在一些可能的实施例中，在获取目标物联网设备发送的电流信息以及标识信息之前，还包括：

获取每个物联网设备发送的第一电流样本信息、第二电流样本信息以及样本标识信息；其中，物联网设备的第一电流样本信息为物联网设备在正常工作时基于磁通门电流传感器采集到，物联网设备的第二电流样本信息为物联网设备在已知类型的病毒攻击时基于磁通门电流传感器采集到；

对每个物联网设备的第一电流样本信息进行特征提取，得到至少两个第一样本特征指标，并对至少两个第一样本特征指标添加正样本标签；

对每个物联网设备的第二电流样本信息进行特征提取，得到至少两个第二样本特征指标，并对至少两个第二样本特征指标添加负样本标签；其中，负样本标签包括已知的病毒类型；

基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标以及样本标识信息更新模型数据库。

在一些可能的实施例中，基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标以及样本标识信息更新模型数据库，包括：

当在模型数据库中检测到与物联网设备的样本标识信息一致的标识信息时，基于物联网设备的添加有正样本标签的至少两个第一样本特征指标以及添加有负样本标签的至少两个第二样本特征指标，对模型数据库中与物联网设备的样本标识信息对应的特征指标进行更新；

当在模型数据库中未检测到与物联网设备的样本标识信息一致的标识信息时，将物联网设备的样本标识信息以及与物联网设备的样本标识信息对应的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标插入至模型数据库。

在一些可能的实施例中，在基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标、添加有负样本标签的至少两个第二样本特征指标以及样本标识信息更新模型数据库之后，还包括：

判断更新后的模型数据库中与每个物联网设备的标识信息对应的正样本标签以及负样本标签的个数是否超过预设阈值；

当与每个物联网设备的标识信息对应的正样本标签以及负样本标签的个数超过预设阈值时，基于每个物联网设备的添加有正样本标签的至少两个第一样本特征指标以及添加有负样本标签的至少两个第二样本特征指标，对与物联网设备的标识信息对应的机器学习模型进行训练。

本申请还提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述方法的步骤。其中，计算机可读存储介质可以包括但不限于任何类型的盘，包括软盘、光盘、DVD、CD-ROM、微型驱动器以及磁光盘、ROM、RAM、EPROM、EEPROM、DRAM、VRAM、闪速存储器设备、磁卡或光卡、纳米系统（包括分子存储器IC），或适合于存储指令和/或数据的任何类型的媒介或设备。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置，可通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些服务接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储器中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储器中，包括若干指令用以使得一台计算机设备（可为个人计算机、服务器或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储器包括：U盘、只读存储器（Read-Only Memory， ROM）、随机存取存储器（Random Access Memory，RAM）、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通进程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储器中，存储器可以包括：闪存盘、只读存储器（Read-Only Memory， ROM）、随机存取器（Random AccessMemory，RAM）、磁盘或光盘等。

以上所述者，仅为本公开的示例性实施例，不能以此限定本公开的范围。即但凡依本公开教导所作的等效变化与修饰，皆仍属本公开涵盖的范围内。本领域技术人员在考虑说明书及实践这里的公开后，将容易想到本公开的其实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未记载的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的范围和精神由权利要求限定。